Un fallo de WhatsApp puede dejarte sin 'app' en solo 12 horas

Dos investigadores de ciberseguridad han explicado como cualquier persona puede bloquearte la cuenta de forma prácticamente definitiva en unas pocoas horas

Logo de WhatsApp. / SOPA Images - Getty

Dos investigadores han descubierto una nueva vulnerabilidad en la app de WhatsApp que puede suponer el bloqueo de la cuenta de cualquier usuario en solo 12 horas y solo conociendo en número de teléfono asociado a la misma.

Los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña se han puesto en contacto recientemente con el periodista especializado en seguridad y vigilancia la revista Forbes, Zack Doffman, para revelarle el hallazgo de esta vulnerabilidad y explicarle cómo los ciberdelincuentes pueden llevarla a cabo. Os trasladamos aquí sus explicaciones:

Fase 1: acabar con las oportunidades de verificar el número

El fallo detectado por Márquez y Canales se debe a dos procesos independientes de WhatsApp que, utilizados por un criminal y combinados, pueden acabar con el peor desenlace para el usuario, la pérdida de la cuenta.

La primera fase de este proceso que deja ver la vulnerabilidad de la app consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp en su terminal, aunque este ya esté utilizando la herramienta en su smartphone. Así, ante un intento de acceso malintencionado, el usuario real recibirá el código de verificación de seis dígitos mediante un SMS o a través de una llamada y además una notificación que le avise de la solicitud del código.

En este momento, el verdadero dueño de la cuenta no podrá hacer otra cosa que ignorar estos mensajes o ponerse en contacto con el soporte de la 'app', pues no los ha solicitado ni tiene opción alguna de introducirlos en su cuenta que sigue funcionando perfectamente mientras los ciberatacantes intentan acceder.

Una vez hechos los primeros intentos y con rapidez, los delincuentes podrán solicitar a WhatsApp la opción de que la plataforma les envíe un código nuevo en 12 horas y bloquear así la opción de introducción de códigos de seguridad en ese plazo de tiempo.

Fase 2: solicitar la desactivación de la cuenta

Por otro lado, como segunda fase del proceso, los hackers pueden enviar un correo electrónico al soporte de WhatsApp haciéndose pasar por el usuario y, con una excusa, solicitar la desactivación de la cuenta, un proceso que solo requiere la confirmación del número de teléfono asociado a la misma mediante un segundo correo y que parece ser automático por parte de la herramienta.

"No hay preguntas de seguimiento para confirmar que eres el propietario del número. Pero se ha activado un proceso de automatizado, sin su conocimiento, y ahora su cuenta se desactivará", explica el periodista.

Una vez solicitada la desactivación, el equipo de soporte de WhatsApp empieza el proceso para borrar la cuenta y entonces, aproximadamente una hora más tarde según la experiencia de los investigadores, la víctima recibe un mensaje en el que se la informa de que su número de teléfono ya no está asociado a ningún perfil.

"Su número de teléfono ya no está registrado con WhatsApp en este terminal. Si no lo hizo, verifique su número de teléfono para volver a iniciar sesión en su cuenta", reza el mensaje que recibirá la persona atacada.

En ese momento, tenga o no activada la autenticación de dos factores, el usuario solo puede intentar restablecer su cuenta introduciendo el número de teléfono y el código facilitado por WhatsApp. Sin embargo, debido a que los hackers han agotado los intentos, la víctima no recibirá ningún mensaje y aunque en ese momento recuerde que unas horas antes ha recibido varios mensajes con códigos, al introducirlos estos también darán error.

Es entonces cuando los atacantes abordarán la fase final. En el tercio final del ciclo de 12 horas, los hackers podrán repetir la operación y mandar otro correo electrónico a WhatsApp que derivará en un fallo de la app. "Lo has intentado demasiadas veces, inténtelo de nuevo después de 1 segundo", rezará el mensaje que recibirá la víctima, y entonces, ya será demasiado tarde y la única manera de recuperar la cuenta será ponerse en contacto con WhatsApp para que, de manera manual, le reactiven su cuenta.

 "La combinación de la arquitectura de verificación, los límites de SMS con códigos y las acciones automatizadas basadas en palabras clave por los correos electrónicos entrantes está abierta al abuso", concluye el periodista de Forbes después de hablar con los investigadores.

Carolina Martínez

Carolina Martínez

Periodista y SEO editorial en LOS40. Propongo estrategias y escribo sobre todo lo que mande la actualidad....

Cadena SER
Directo

Tu contenido empezará después de la publicidad

  • Hoy en LOS40

  • Podcasts

  • Programación

  • Playlists

  • Emisoras

  • Lista oficial de LOS40

    Lista oficial de LOS40

    Lista semanal oficial de LOS40

  • Lista de LOS40 hace 10 años

    Lista de LOS40 hace 10 años

    Rebobinamos hasta los éxitos del año 2015

  • Novedades semanales

    Novedades semanales

    La selección de LOS40 de las novedades viernes

  • Lo que más suena

    Lo que más suena

    Escucha lo más radiado en LOS40 Classic

  • Lo que más suena EN ESPAÑOL

    Lo que más suena EN ESPAÑOL

    Conoce lo más radiado en música española

  • Lista de LOS40 hace 25 años

    Lista de LOS40 hace 25 años

    Rebobinamos para ver los éxitos del año 2000

  • Lo que más suena

    Lo que más suena

    Lo más radiado en LOS40 Urban

  • Lo último en URBAN

    Lo último en Urban

    Conoce lo último en música urbana

  • Latin Queens

    Latin Queens

    Reunimos el talento de las mujeres latinas

  • Lo que más suena

    Lo que más suena

    Lo más radiado en LOS40 Dance

  • ADN Dance

    ADN Dance

    El sonido y la esencia de LOS40 Dance

  • Lo último en DANCE

    Lo último en DANCE

    Descubre las últimas novedades

  • Lista oficial de LOS40

    Lista oficial de LOS40

    Lista oficial de LOS40 actualizada cada sábado

  • Èxits actuals del pop català

    Èxits actuals del pop català

    El millor de la música en català actual

  • STAY HOMAS recomienda

    STAY HOMAS recomienda

    Las favoritas del grupo revelación del confinamiento

LOS40

Compartir

Tu contenido empezará después de la publicidad

Tu audio se ha acabado.
Te redirigiremos al directo.

5 "